KONSEP PEDOMAN PENERAPAN MANAJEMEN RISIKO BERBASIS GOVERNANCE

Transkripsi

1 KONSEP PEDOMAN PENERAPAN MANAJEMEN RISIKO BERBASIS GOVERNANCE DITERBITKAN OLEH KOMITE NASIONAL KEBIJAKAN GOVERNANCE

2 DAFTAR ISI BAB I PENDAHULUAN 3 1. Latar Belakang 3 2. Ruang Lingkup, Maksud, dan Tujuan Peraturan dan Pedoman Terkait serta Aspek Penerapan Manajemen Risiko Istilah dan Definisi 16 BAB II ASPEK STRUKTURAL Pengantar Prinsip,Kerangka Kerja dan Proses Manajemen Risiko Tata Kelola Risiko Sumber Daya Penerapan Manajemen Risiko 36 BAB III ASPEK OPERASIONAL Pengantar Manajemen Perubahan Panduan Manajemen Risiko Implementasi Manajemen Risiko Komunikasi dan Konsultasi Menentukan Konteks Asesmen Risiko Perlakuan Risiko Monitoring dan Review Dokumentasi Manajemen Risiko 66 BAB IV ASPEK PERAWATAN Pengantar Risk Governance Budaya Risiko Pengembangan Manajemen Risiko 76 TIM PENYUSUN PEDOMAN 79 ANGGOTA KNKG 80 2

3 BAB I PENDAHULUAN 1. LATAR BELAKANG Manajemen risiko adalah salah satu disiplin yang menjadi popular menjelang akhir abad ke dua puluh. Disiplin ini mengajak kita untuk secara logis, konsisten, dan sistematis untuk melakukan pendekatan terhadap ketidakpastian di masa depan. Dengan demikian, kita dapat lebih berhati-hati dan produktif menghindari hal-hal yang tidak perlu dan mencegah hal-hal yang merugikan atau tidak bermanfaat. Kegiatan ini dilakukan tidak hanya berdasarkan keyakinan dan keberuntungan, namun juga dengan mempelajari kemungkinan terjadinya suatu peristiwa serta bagaimana cara mengatasi dampaknya. Hal tersebut juga didukung dengan kemampuan untuk mempelajari dan memahami penyebab suatu terjadinya peristiwa (source of risk). Sesuatu hal yang hanya didasarkan atas keberuntungan membuat pelaksanaan manajemen risiko menjadi tidak efektif, bahkan dapat mengaburkan kebenaran dari penyebab terjadinya suatu peristiwa. Manajemen risiko berkembang seiring dengan perkembangan pembelajaran manusia. Dalam satu abad terakhir ini, terdapat beberapa peristiwa politik, ekonomi, dan perkembangan teknologi yang turut membantu perkembangan manajemen risiko, di antaranya penggunaan bom atom dalam Perang Dunia ke-ii, perkembangan teknologi otomotif, alat transportasi, peluru kendali, komputer, dll. Selain itu, juga terdapat beberapa peristiwa lainnya, misalnya kasus bocornya reaktor nuklir di Rusia, bencana industri Bhopal di India, tenggelamnya kapal Titanic, pencemaran Teluk Minamata di Jepang, tragedi kapal tanker Exxon Valdez, kasus Enron, kasus Nick Leeson dengan Baring Bank di Singapura, kasus terorisme yang menghancurkan Twin Tower di New York, hingga krisis finansial yang dialami Indonesia tahun 1997/1998, kasus bank Global, kasus Bank Century dan kasus-kasus lainnya. Semua peristiwa tersebut memberikan stimulus terhadap perkembangan manajemen risiko untuk lebih memahami sebab-akibat, berikut 3

4 prediksi tentang kemungkinan terjadinya suatu peristiwa yang merupakan bagian tak terpisahkan dari proses evolusi manajemen risiko. a. Sejarah Singkat Perkembangan Manajemen Risiko Felix Kloman dalam Enterprise Risk Management: Today s Leading Research and Best Practices for Tomorrow s Executives (2010) menuliskan secara ringkas beberapa tonggak sejarah yang terkait dengan perkembangan manajemen risiko selama 100 tahun terakhir ini. Adapun uraian kronologis sejarah perkembangan manajemen risiko adalah sebagai berikut: 1) 1914 : di Amerika Serikat perkumpulan dari para credit & lending officers dengan nama Robert Martin Association terbentuk di Philadelphia, kemudian berganti nama menjadi Risk Management Association pada tahun 2000, dan pada tahun 2008 anggotanya telah mencapai lembaga keuangan dan anggota perorangan; 2) 1928: Kongres Amerika Serikat menerbitkan Glass-Steagal Act yang melarang kepemilikan yang sama atas bank umum, investment bank dan perusahaan asuransi. Undang-Undang ini dicabut pada tahun 1999, karena dianggap menghambat perkembangan lembaga keuangan. Namun, beberapa peristiwa bencana di bidang keuangan setelah tahun 2000 mempertanyakan kembali kebijakan pencabutan Undang-Undang ini; 3) 1945: Kongres Amerika Serikat menerbitkan McCarren-Ferguson Act yang menyerahkan kewenangan pengaturan industri asuransi kepada negara bagian dan tidak lagi menjadi kewenangan nasional federal. Hal ini agak menghambat perkembangan manajemen risiko karena mengurangi kemampuan industri asuransi dalam menghadapi risiko-risiko dalam perspektif yang lebih luas.; 4) 1966: The Insurance Institute of America mengembangkan satu set ujian yang terdiri dari tiga bagian yang memberikan gelar Associate in Risk Management. Ini adalah sertifikasi pertama yang diberikan dalam disiplin manajemen risiko. Walaupun isinya masih sangat didominasi oleh konsep perusahaan asuransi, 4

5 tetapi pengenal konsep risiko yang lebih luas mulai diperkenalkan, dan ini setiap tahun selalu dimutakhirkan sesuai dengan tuntutan perubahan.; 5) 1975: The American Society of Insurance Management mengubah namanya menjadi Risk & Insurance Management Society (RIMS) yang pada tahun 2008 jumlah anggotanya di Amerika Utara telah mencapai orang. Di negara lain, RIMS mempunyai asosiasi dengan The International Federation of Risk and Insurance Management Association (IFRIMA).; 6) 1980: mulai didirikan Society for Risk Analysis (SRA) di Washington, terutama oleh mereka yang bergerak dalam kebijakan publik, lingkungan hidup dan para akademisi terkait. Pada tahun 2008, SRA telah mempunyai anggota sebanyak orang dan mempunyai afiliasi di Eropa dan Jepang. Kelompok ini yang mulai memperkenalkan manajemen risiko pada produk-produk legislasi.; 7) 1986: The Institute for Risk Management didirikan di London, beberapa tahun kemudian mulai memperkenalkan ujian yang dapat diikuti secara international untuk mendapatkan sertifikasi sebagai Fellow of the Institute of Risk Management, yang merupakan program pelatihan berkelanjutan terkait dengan manajemen risiko dalam berbagai macam aspeknya. Pada saat yang bersamaan Kongres Amerika Serikat juga meloloskan revisi dari The Risk Retention Act yang disahkan pada tahun 1982.; 8) 1990: Perserikatan Bangsa-Bangsa (PBB) memulai program the International Decade for Natural Disaster Recovery (IDNDR), suatu program kajian 10 tahun untuk mempelajari alam dan dampak bencana alam, khususnya pada negaranegara yang terbelakang serta membangun suatu upaya mitigasi pada tingkat dunia. Program ini berakhir pada tahun 1999 dan dilanjutkan dengan nama baru the International Strategy for Disaster Reduction (ISDR). Hasil dari kajian tersebut dapat dilihat dalam buku Natural Disaster Management yang diterbitkan oleh PBB.; 9) 1992: The Cadbury Committee di Inggris menerbitkan laporan yang menyarankan agar Dewan Direksi (Governing Boards) bertanggung jawab atas kebijakan 5

6 manajemen risiko perusahaan dan memastikan bahwa seluruh anggota perusahaan memahami semua aspek risiko yang dihadapi perusahaan. Selain itu merekomendasikan bahwa Dewan Direksi juga bertanggung jawab atas pengawasan proses pelaksanaan manajemen risiko tersebut. Hempel & Turnbull Committee yang melanjutkan tugas Cadbury Committee, memperluas dan memperbarui mandate untuk penerapan manajemen risiko bagi seluruh perusahaan. Kondisi semacam ini juga diikuti oleh beberapa negara antara lain Kanada, Amerika Serikat, Inggris, Afrika Selatan, Jerman dan Perancis. Pada tahun yang sama the Bank for International Settlement (BIS) yang berkedudukan di Swiss, menerbitkan ketentuan yang disebut sebagai Basel I bagi dunia perbankan international yang terkait dengan kecukupan modal, ketentuan tentang risiko kredit dan risiko pasar.; 10) 1993: Jabatan Chief Risk Officer (CRO) pertama kali digunakan oleh James Lam, dari GE Capital, untuk menggambarkan suatu jabatan yang bertanggung jawab atas pengelolaan semau aspek risiko perusahaan, termasuk manajemen risiko secara umum, risiko operasi, risiko usaha, risiko keuangan, dll. Saat ini sudah lebih dari 150 CRO yang bertanggung jawab atas penanganan berbagai macam risiko yang dihadapi perusahaan.; 11) 1995: Suatu kelompok kerja multi disiplin yang dibentuk oleh Standard Australia dan Standard New Zealand menerbitkan standar manajemen risiko yang pertama di dunia yaitu AS/NZS 4360:1995 Risk Management Standard (Standar ini kemudian direvisi setiap 5 tahun, dan telah mengalami revisi pada tahun 1999 dan tahun 2004). Penerbitan standar ini segera diikuti oleh beberapa negara antara lain Canada, Jepang dan Inggris. Sementara itu beberapa pengamat mengatakan bahwa tindakan ini premature karena manajemen risiko masih dalam proses evolusi, akan tetapi mayoritas pengamat menghargai upaya ini karena standar ini merupakan langkah awal untuk dapat membuat suatu kerangka referensi global atas manajemen risiko, terlebih aspek multi disiplin dari manajemen risiko memperoleh tempat yang layak.; 6

7 12) 1996: The Global Association of Risk Professionals (GARP) didirikan di New York dan London. Pada tahun 2008 jumlah anggotanya sudah mencapai lebih dari orang. GARP juga memberikan berbagai macam program sertifikasi untuk manajemen risiko.; 13) 2000: kekhawatiran atas kemungkinan terjadinya bencana akibat virus Y2K tidak terjadi. Secara umum ini dapat dikatakan karena keberhasilan pengerahan upaya dan dana yang sangat masif untuk melakukan perbaikan program guna mengatasi kemungkinan terjadinya bencana tersebut. Kejadian ini sering disebut sebagai salah satu keberhasilan manajemen risiko dalam mengantisipasi bencana.; 14) 2001: The Professional Risk Manager s International Association (PRMIA) didirikan di Amerika Serikat dan Inggris. Pada tahun 2008, jumlah keanggotaannya mencapai sekitar anggota penuh (paid members) dan anggota afiliasi (associate members). Pada tahun yang sama juga terjadi tragei 11 September 2001, yaitu serangan teroris pada Tein Tower di New York. Selain itu kebangkrutan Enron karena bad governance juga terjadi pada tahun ini. 15) 2002: Kongres Amerika Serikat meloloskan Sarbanes-Oxley Act (SOA) untuk merespons kebangkrutan Enron dan skandal di bidang keuangan lainnya. Ketentuan SOA diberlakukan untuk semua perusahaan publik yang tercatat di bursa efek Amerika Serikat. Sementara pengamat memandang bahwa ini adalah awal dari penggabungan unsur kepatuhan dengan manajemen risiko. Ada pula yang berpendapat bahwa penggabungan ini adalah suatu kemunduran karena memandang risiko hanya pada sisi negatifnya saja, sedangkan yang lain berpendapat bahwa ini adalah langkah nyata penerapan manajemen risiko pada tingkat Dewan Direksi.; 16) 2004: The Basel Committee on Banking Supervision dari BIS menerbitkan the Basel II Accord, yang memperluas cakupan pedoman yang telah dikeluarkan sebelumnya (Basel I) yang meliputi ratio kecukupan modal, risiko kredit, risiko pasar dengan tambahan risiko operasional perbankan. Beberapa pengamat 7

8 berkomentar bahwa penerapan pedoman ini secara global akan mengurangi kebebasan masing-masing individu lembaga keuangan. Kesepakatan global sejenis Basel II ini diperkirakan juga menjadi alasan untuk menerbitkan kesepakatan serupa untuk industri non-finansial. 17) 2005: The International Organization for Standarization (ISO) membentuk International Working Group (Technical Committee) untuk mempersiapkan suatu panduan global terkait dengan definisi manajemen risiko, panduan penerapan, dan praktik-praktik manajemen risiko, dan ditargetkan selesai pada tahun 2009.; 18) 2009: ISO menerbitkan ISO 31000:2009 Risk Management Principles and Guidelines. Penerbitan standar internasional ini segera diikuti dengan diadopsinya oleh beberapa negara antara lain Australia, New Zealand, dan Jepang pada tahun Mereka mengadopsi ISO ke dalam standar manajemen risiko negaranya. Felix Kloman tidak memasukkan Committee of Sponsoring Organization of the Treadway Commission (COSO) Enterprise Risk Management (ERM) Integrated Framework (2004) dalam tonggak sejarah perkembangan manajemen risiko tanpa menjelaskan alasannya. Namun, dari beberapa tulisan pengamat lainnya dapat disimpulkan bahwa kemungkinan tidak dimasukkannya COSO Enterprise Risk Management Integrated Framework, karena beberapa hal sebagai berikut: 1) COSO merupakan suatu unit organisasi privat yang disponsori oleh lima asosiasi profesi bidang keuangan di Amerika Serikat (American Accounting Association, American Institute fo Certified Public Accountants, Financial Executive International, Institute of Management Accountants dan Institute of Internal Auditors). Dengan demikian COSO lebih merupakan Opinion Leader dan bukan suatu asosiasi profesi. Hasil karyanya juga tidak disepakati (endorsed) menjadi panduan yang mengikat oleh asosiasi yang mensponsorinya. Oleh karena itu istilah yang digunakan adalah Framework dan bukan Guideline ataupun Standard.; 8

9 2) Dalam posisi demikian, walaupun publikasi COSO diakui sebagai valuable tools and offers detailed guidance on how company may implement enterprise risk management"(beasley & Frigo, 2010), tetapi sifatnya tidaklah berbeda dengan karya-karya ilmiah lain di bidang manajemen risiko. Selain itu COSO ERM Framework memberikan peluang untuk diinterpretasikan secara luas dan bebas sesuai dengan kepentingan pengguna. Hal ini tentu berbeda dengan standar, yang memuat kriteria dan norma aturan yang pasti dan harus diikuti, walaupun memberikan kebebasan interpretasi, tetapi tetap dalam koridor yang telah ditetapkan oleh standar tersebut. 3) Sponsor dari COSO adalah asosiasi organisasi profesi akuntan/auditor/keuangan, sehingga dapat menimbulkan interpretasi terhadap kemungkinan adanya benturan kepentingan apakah kerangka kerja yang dipublikasikan ini memang untuk memenuhi kebutuhan publik atau untuk memenuhi kebutuhan para praktisi dari asosiasi profesi tersebut? (S.J. Root, 1998). 4) Proses penerbitan pada COSO tidaklah serumit dengan proses penerbitan standar yang harus melalui beberapa proses dengar pendapat dengan para pihak terkait (public hearing/roundtable discussion) sebelum akhirnya disahkan menjadi standar (S.J. Root, 1998). 5) COSO bukan suatu otoritas yang mempunyai kewenangan untuk menetapkan produknya menjadi suatu standar. Dengan demikian COSO Enterprise Risk Management Integrated Framework (2004) bukanlah suatu standar untuk manajemen risiko. b. Keterkaitan Manajemen Risiko dengan Strategi dan Proses Organisasi Setiap organisasi mempunyai visi dan misi. Visi adalah sasaran dan kondisi tertentu yang ingin dicapai oleh organisasi dalam waktu yang ditentukan. Misi merupakan alasan mengapa organisasi didirikan dan pada misi tersebut dapat diidentifikasi proses utama organisasi dalam memenuhi kebutuhan pelanggan utamanya. Strategi 9

10 adalah cara untuk mencapai visi organisasi yang lebih baik dari pesaing-pesaing organisasi tersebut. Proses utama organisasi adalah proses yang menghasilkan apa yang dibutuhkan pelanggan organisasi tersebut. Dalam organisasi bisnis, proses utama ini disebut dengan cash generating process. Untuk dapat bersaing dalam memenuhi kebutuhan pelanggan, maka setiap organisasi harus mengupayakan proses utama mereka lebih efektif dan efisien, serta menghasilkan produk dan jasa yang juga lebih baik dari pesaing-pesaingnya. Disinilah perumusan strategi dalam mencapai visi organisasi berperan. Dalam perumusan visi dan strategi terdapat konteks eksternal dan internal organisasi, sedangkan dalam proses utama organisasi hanya terdapat konteks internal organisasi. Konteks internal adalah lingkungan internal organisasi dimana organisasi tersebut berusaha untuk mencapai sasarannya. Konteks internal ini terdiri dari kapabilitas, struktur, proses, budaya, personalia, dan sumber daya organisasi. Konteks internal ini relatif lebih dapat dikendalikan dibandingkan dengan konteks eksternal yang lebih banyak dipengaruhi faktor di luar organisasi. Konteks eksternal organisasi adalah lingkungan eksternal organisasi dimana organisasi tersebut berupaya untuk mencapai sasaran organisasi, yaitu visinya. Konteks ini meliputi kondisi makro, antara lain kondisi ekonomi, sosial, politik, budaya, geografis, dan jenis industri organisasi tersebut. Selain itu, juga terkait dengan para pemangku kepentingan (stakeholders) dari organisasi tersebut, pelanggan, pemasok, kreditur, karyawan, regulator, pengamat industri, media massa, dll. Dalam konteks eksternal ini faktor luar organisasi lebih dominan. Risiko adalah sesuatu yang dapat mempengaruhi sasaran organisasi. Salah satu atribut risiko adalah ketidakpastian, baik dari sesuatu yang sudah diketahui maupun dari sesuatu yang belum diketahui. Dengan demikian strategi yang baik haruslah juga memperhatikan risiko-risiko yang mungkin terjadi dalam konteks internal maupun eksternal organisasi, dan melakukan antisipasi perlakukan risiko bila memang risiko tersebut menjadi kenyataan. Untuk risiko-risiko eksternal perlu diperhatikan harapan 10

11 dari tiap pemangku kepentingan yang bila tidak dipenuhi akan menimbulkan konflik dan mempengaruhi pencapaian sasaran organisasi. Begitu pula risiko yang mungkin terjadi akibat perubahan situasi politik, ekonomi, sosial atau lainnya. Semua hal tersebut harus diperhatikan dalam perumusan strategi. Proses utama organisasi merupakan kunci realisasi strategi dalam mencapai sasaran perusahaan. Kegagalan proses utama perusahaan dan proses pendukung lainnya akan mempengaruhi pencapaian sasaran organisasi. Semua kemungkinan yang dapat mengganggu proses organisasi haruslah diidentifikasi dan diantisipasi pencegahannya. Teknik yang paling sering digunakan dalam proses identifikasi risiko adalah diagram tulang ikan (Ishikawa diagram) yang mengidentifikasi penyebab kegagalan dengan metoda sebab-akibat. Teknik lainnya adalah FailureMode and Effect Analysis, yang juga mengidentifikasi kegagalan apa saja yang mungkin terjadi pada setiap tahapan proses, serta mencoba mencari kemungkinan deteksi dini dari penyebab kegagalan tersebut sebelum terjadi. c. Mengapa perlu Pedoman Manajemen Risiko berbasis Governance? Berdasarkan Surat Keputusan Menteri BUMN (2002), OECD (2004), serta Pedoman Umum GCG yang dikeluarkan oleh KNKG (2006), corporate governance mengandung pengertian tentang pencapaian keberhasilan usaha dan cara untuk memantau kinerja pencapaian sasaran keberhasilan usaha tersebut. Adapun prinsip dari corporate governance yang berpengaruh dalam pelaksanaan manajemen risiko adalah transparansi, akuntabilitas, tanggung jawab (responsibilitas) dan independensi. Dengan mengacu pada pengertian dan prinsip-prinsip corporate governance di atas maka jelaslah mengapa manajemen risiko yang berbasis governance menjadi sangat diperlukan. Pertama, manajemen risiko adalah bagian yang tidak terpisahkan dari pelaksanaan corporate governance karena peran manajemen risiko dalam memberikan jaminan yang wajar atas pencapaian sasaran keberhasilan usaha tidak tergantikan. 11

12 Kedua, pelaksanaan manajemen risiko yang baik memerlukan prinsip-prinsip governance sebagai berikut: 1) Transparansi: pengelolaan risiko haruslah transparan, karena dampak risiko tidak hanya pada satu unit atau bagian saja, tetapi juga pada bagian lain. Dengan kata lain pengelolaan risiko haruslah bersifat inklusif dan transparan artinya melibatkan semua pihak yang terkait dengan risiko tersebut, baik dalam penanganan sumber risiko, maupun perlakuan terhadap dampak risiko; 2) Akuntabilitas: harus terdapat akuntabilitas yang jelas dalam penerapan manajemen risiko dalam organisasi. Untuk seluruh perusahaan, akuntabilitas tertinggi dalam penerapan manajemen risiko terletak pada Direksi dan akuntabilitas pengawasan penerapan manajemen risiko terletak pada Dewan Komisaris. Selain itu, akuntabilitas pengelolaan risiko tersebut juga harus jelas di setiap tingkatannya, bahkan hingga ke tiap proses bisnis; 3) Responsibilitas: penjabaran akuntabilitas penerapan manajemen risiko memerlukan uraian tanggung jawab yang lebih jelas dalam pengelolaan risiko pada masing-masing tingkatan, bahkan hingga ke pengelolaan risiko dalam proses organisasi. Oleh karena itu setiap pemangku risiko (risk owner) harus dapat memamahi tugas dan tanggung jawabnya terkait dengan pengelolaan risiko dalam lingkup tugas dan kewenangannya; 4) Independensi: ini adalah konsekuensi logis dari prinsip akuntabilitas dan responsibilitas, dimana unit atau individu yang dibebani dengan akuntabilitas dan responsibilitas untuk mengelola risiko yang masuk dalam lingkup tugas dan kewenangannya, haruslah diberi kebebasan dalam merumuskan cara menangani risiko tersebut. Ketiga, risiko adalah bagian yang tak terpisahkan dari proses organisasi. Oleh karena itu manajemen risiko tidak dapat dipisahkan dari kegiatan utama ataupun proses lain dalam organisasi. Manajemen risiko juga menjadi bagian yang tak terpisahkan dari tanggung jawab manajemen dalam memastikan tercapainya sasaran organisasi. 12

13 Berdasarkan hal tersebut, maka manajemen risiko haruslah diintegrasikan sepenuhnya ke dalam governance organisasi agar dapat memberikan kepastian terhadap pencapaian sasaran organisasi. Dengan manajemen yang effektif, maka akan lebih memberikan jaminan terhadap pencapaian sasaran organisasi. 2. Ruang Lingkup, Maksud dan Tujuan a. Ruang lingkup Pedoman ini akan menguraikan aspek-aspek dan elemen-elemen yang diperlukan untuk membangun dan menerapkan manajemen risiko pada suatu organisasi. Aspek dan elemen yang diuraikan pada dasarnya bersifat generik dan dapat digunakan baik pada organisasi nirlaba, organisasi publik ataupun perusahaan yang berorientasi laba. Selain itu, pedoman ini juga dapat digunakan pada proyek, proses organisasi atau keperluan khusus lainnya yang disesuaikan menurut tujuan spesifiknya. Penerapan manajemen risiko tidak dapat dipisahkan dengan governance dari suatu organisasi, dan governance suatu organisasi tidak terlepas dari peraturan perundangundangan yang berlaku. Untuk organisasi publik, nirlaba baik yang termasuk di dalamnya yayasan, organisasi kemasyarakatan, dll, peraturan perundang-undangan yang berlaku berbeda untuk masing-masing organisasi tersebut. Oleh karena itu demi kemudahan penulisan, pedoman ini akan menggunakan latar belakang Undang- Undang No. 40 tahun 2007 tentang Perseroan Terbatas. Alasannya sederhana, karena Perseroan Terbatas merupakan peraturan perundangan yang menjadi dasar organisasi yang bergerak dalam bidang perekonomian dan paling banyak melibatkan kegiatan ekonomi masyarakat. Dengan demikian bagi pengguna yang bukan bergerak dalam organisasi Perseroan Terbatas, haruslah menginterpretasikan ulang posisi-posisi Direksi dan Dewan Komisaris dengan posisi yang mempunyai tugas dan kewenangan serupa dalam organisasinya. b. Maksud dan Tujuan Penerapan manajemen risiko yang baik antara lain dapat: 13

14 1) Mengurangi kejutan yang kurang menyenangkan. Ini dapat diperoleh karena melalui penerapan manajemen risiko yang baik semua hal yang berakibat pada pencapaian sasaran perusahaan telah diidentifikasikan sebelumnya berikut langkah perlakuan terhadap hal tersebut telah diantisipasi. Hal ini berlaku untuk peristiwa yang positif maupun negatif; 2) Meningkatkan hubungan dengan para pemangku kepentingan. Hal ini diperoleh karena dalam menerapkan manajemen risiko wajib untuk menemukenali para pemangku kepentingan dan harapannya. Melalui komunikasi timbal balik yang cukup intens maka dapat digalang kesamaan persepsi dan kepentingan bersama, dengan demikian dapat diperoleh hubungan yang lebih baik; 3) Meningkatkan reputasi perusahaan. Dengan adanya komunikasi yang baik dengan para pemangku kepentingan, mereka dapat mengetahui bahwa perusahaan mampu untuk menangani risiko-risiko yang dihadapi dengan baik. Akibatnya kepercayaan pelanggan, pemasok, kreditor, komunitas bisnis serta masyarakat juga meningkat; 4) Meningkatkan efektifitas dan efisiensi manajemen. Semua risiko yang dapat menghambat proses organisasi telah diidentifikasikan dengan baik. Kemudian gangguan kelancaran proses organisasi tersebut juga telah diantisipasi sebelumnya. Karenanya, bila gangguan tersebut memang terjadi, maka organisasi telah siap untuk menanganinya dengan baik; 5) Lebih memberikan jaminan yang wajar atas pencapaian sasaran perusahaan karena terselenggaranya manajemen yang lebih efektif dan efisien, hubungan dengan pemangku kepentingan yang semakin membaik, kemampuan menangani risiko perusahaan yang juga meningkat, termasuk risiko kepatuhan dan hukum. Berdasarkan hal-hal di atas, pedoman ini dapat dikatakan sebagai panduan bagi pimpinan perusahaan untuk membangun dan menerapkan manajemen risiko sesuai dengan peraturan yang berlaku. Dikarenakan kriteria setiap perusahaan berbeda satu sama lainnya, maka pimpinan perusahaan harus dapat menyesuaikan pedoman ini dengan kebutuhan perusahaannya masing-masing. Secara garis besar, tujuan dari penyusunan pedoman ini adalah sebagai berikut: 14

15 1) Sebagai panduan untuk mengembangkan, membangun dan menerapkan manajemen risiko yang baik; 2) Sebagai sarana untuk melakukan peninjauan ulang terhadap proses penerapan manajemen risiko yang telah dilakukan sebelumnya; 3) Sebagai sarana untuk memastikan kejelasan governance structure manajemen risiko dan juga sebaliknya bahwa manajemen risiko sudah terintegrasi sepenuhnya dengan governance perusahaan. 3. Peraturan dan Pedoman Terkait serta Aspek Penerapan Manajemen Risiko a. Peraturan dan Pedoman Terkait Peraturan perundang-undangan yang terkait dengan penerapan manajemen risiko antara lain: 1) Undang-Undang No. 8 tahun 1995 tentang Pasar Modal; 2) Undang-Undang No.19 tahun 1995 tentang badan Usaha Milik Negara; 3) Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas; 4) Peraturan Pemerintah No. 60 tahun 2008 tentang Pengendaliann intern Pemerintah; 5) Peraturan Bank Indonesia No. 11/25/PBI/2009 tentang Penerapan Manajemen Risiko bagi Bank Umum; dan 6) Surat Keputusan Menteri BUMN Nomor KEP-117/M-MBU/2002 tentang Praktik Penerapan Good Corporate Governance pada Badan Usaha Milik Negara. Pedoman Komite Nasional Kebijakan Governance yang juga terkait dengan penerapan manajemen risiko adalah sebagai berikut: 1) Pedoman Umum Good Corporate Governance Indonesia (2006); 2) Pedoman Umum Good Public Governance Indonesia (2008); 3) Pedoman Sistem Pelaporan Pelanggaran SPP/WBS (2008); dan 4) Pedoman Etika Bisnis Perusahaan (2010) 15

16 Selain peraturan perundang-undangan dan pedoman di atas, masih terdapat pedoman internal perusahaan yang terkait dengan peraturan di bidang industri, keuangan, ketenagakerjaan, dll yang juga perlu diperhatikan dalam penerapan manajemen risiko perusahaan. b. Aspek Penerapan Manajemen Risiko Proses penerapan manajemen risiko yang disarankan dalam Pedoman ini terdiri dari tiga aspek yaitu: 1) Aspek struktural yaitu aspek yang memastikan arah penerapan, struktur organisasi penerapan dan akuntabilitas pelaksanaan manajemen risiko dalam organisasi, penyediaan sumber daya, dsb.; 2) Aspek operasional, yakni aspek yang menunjukkan tahapan proses implementasi yang sistematis dan terarah, mulai dari pernyataan komitmen Direksi dan Dewan Komisaris, penyusunan Pedoman Manajemen Risiko Perusahaan, briefing untuk Komisaris dan Direktur, pelatihan para pemangku risiko, hingga penerapannya. 3) Aspek perawatan, yakni aspek yang memastikan adanya upaya menjaga efektifitas penerapan dan perbaikan yang berkesinambungan melalui, monitoring dan review serta audit manajemen risiko. 4. Istilah dan Definisi Istilah dan definisi manajemen risiko yang digunakan dalam Pedoman ini mengacu pada ISO GUIDE 73:2009 Risk management Vocabulary. Hal ini dimaksudkan untuk menghindari kerancuan dari berbagai macam istilah dan definisi yang digunakan dalam berbagai macam standar. Berikut beberapa istilah dan definisi manajemen risiko yang diadopsi, yakni: a. Risiko adalah dampak ketidakpastian pada sasaran.( ISO GUIDE 73:2009 definisi 1.1); b. Manajemen risiko adalah upaya organisasi yang terkoordinasi untuk mengarahkan dan mengendalikan risiko (ISO GUIDE 73:2009 definisi 2.1); c. Kerangka kerja manajemen risiko adalah sekumpulan perangkat organisasi yang menyediakan landasan bagi perencanaan, penerapan, monitor dan review serta 16

17 perbaikan sinambung manajemen risiko bagi seluruh organisasi (ISO GUIDE 73:2009 definisi 2.1.1); d. Kebijakan manajemen risiko adalah pernyataan Direksi dan Dewan Komisaris terkait dengan arah dan tujuan penerapan manajemen risiko (ISO GUIDE 73:2009 definisi 2.1.2); e. Rencana manajemen risiko adalah pola atau skema dalam kerangka manajemen risiko yang menunjukkan pendekatan yang akan diterapkan dalam mengelola risiko antara lain, pendekatan yang digunakan, komponen-komponen manajemen termasuk teknik manajemen risiko yang digunakan, sumber daya yang akan dipakai dalam mengelola risiko (ISO GUIDE 73:2009 definisi 2.1.3); f. Pemangku Risiko(risk owner): adalah orang atau suatu entitas yang mempunyai akuntabilitas dan kewenangan untuk mengelola suatu risiko (ISO GUIDE 73:2009 definisi ); g. Proses manajemen risiko: adalah penerapan secara sistematik kebijakan manajemen, prosedur dan praktik manajemen dalam pelaksanaan tugas untuk melakukan komunikasi dan konsultasi; menetapkan konteks; melakukan identifikasi; menganalisa; mengevaluasi; memperlakukan, memantau dan mengkaji risiko (ISO GUIDE 73:2009 definisi 3.1.); h. Menetapkan konteks: adalah proses untuk menentukan batasan dan parameter eksternal dan internal yang harus dipertimbangkan dalam mengelola risiko dan menentukan lingkup serta kriteria risiko dalam kebijakan manajemen risiko (ISO GUIDE 73:2009 definisi 2.4); i. Komunikasi dan konsultasi: adalah proses yang berulang dan berkelanjutan antara organisasi dan para pemangku kepentingannya (stakeholders) dalam saling memberikan, berbagi informasi serta melakukan dialog terkait dengan pengelolaan risiko (ISO GUIDE 73:2009 definisi 3.2.1); j. Pemangku kepentingan: adalah setiap orang atau organisasi yang dapat mempengaruhi atau dipengaruhi, atau menganggap dirinya dapat dipengaruhi oleh suatu keputusan atau kegiatan (ISO GUIDE 73:2009 definisi ); 17

18 k. Asesmen risiko: adalah keseluruhan proses yang meliputi identifikasi risiko, analisa risiko dan evaluasi risiko (ISO GUIDE 73:2009 definisi 3.4.1); l. Sumber risiko : adalah segala sesuatu yang baik sendiri ataupun bersama-sama mempunyai potensi yang melekat (intrinsic) untuk menimbulkan terjadinya risiko (ISO GUIDE 73:2009 definisi ); m. Peristiwa (event): adalah suatu kejadian atau perubahan yang terjadi pada suatu kondisi atau lingkungan tertentu (ISO GUIDE 73:2009 definisi ); n. Dampak (consequence): adalah akibat dari suatu peristiwa yang mempengaruhi sasaran (ISO GUIDE 73:2009 definisi ); o. Kemungkinan (likelihood): adalah kesempatan/kemungkinan sesuatu terjadi. Catatan : Perlu dibedakan antara likelihood dengan probability. Terminologi probabilitas adalah istilah matematik, terutama statistic, sehingga dalam menggunakannya perlu diperhatikan kaidah-kaidah matematik terkait. Istilah likelihood atau kemungkinan adalah istilah yang lebih umum dan tidak terkait dengan kaidah matematik, sehingga dalam menentukan ukurannya dapat lebih bebas, baik subyektif, kualitatif ataupun kuantitatif, frekuensi atau juga dengan probabilitas (selama kaidah matematiknya dipenuhi. (ISO GUIDE 73:2009 definisi ); p. Profil risiko: adalah gambaran atau uraian dari suatu kelompok risiko. Catatan : kelompok risiko ini dapat berisikan risiko-risiko yang terkait dengan seluruh organisasi, hanya sebagian dari organisasi, atau dari suatu proyek/proses)(iso GUIDE 73:2009 definisi ); q. Kriteria risiko: adalah kerangka acuan untuk mengukur besaran risiko yang akan dievaluasi (ISO GUIDE 73:2009 definisi ); r. Perlakuan risiko: adalah proses untuk merubah risiko. (Catatan: pada dasarnya upaya perlakuan risiko dilakukan melalui menguruangi kemungkinan terjadinya risiko atau/dan mengurangi dampak risiko, bila risiko tersebut terjadi) (ISO GUIDE 73:2009 definisi 2.1); 18

19 s. Pengendalian: adalah upaya-upaya untuk merubah risiko (ISO GUIDE 73:2009 definisi ); t. Risiko tersisa: adalah risiko yang masih tersisa setelah dilakukan perlakuan risiko (ISO GUIDE 73:2009 definisi ); u. Pemantauan (monitoring): adalah suatu proses yang dilakukan secara terus menerus untuk memeriksa, mengawasi, melakukan pengamatan secara kritis untuk dapat mengidentifikasi terjadinya perubahan dari tingkat kinerja atau sasaran yang ingin dicapai dari pelaksanaan pengelolaan risiko (ISO GUIDE 73:2009 definisi ); v. Pengkajian (review): adalah suatu kegiatan yang dilakukan untuk menentukan suatu kesesuaian, kecukupan, dan efektifitas suatu obyek, proses atau cara yang digunakan dalam mencapai sasaran (Catatan: review dapat dilakukan terhadap kerangka kerja manajemen risiko, proses manajemen risiko, perlakuan risiko ataupun pengendalian risiko) (ISO GUIDE 73:2009 definisi ); w. Selera risiko (risk appetite) adalah jumlah dan jenis risiko yang siap ditangani atau diterima oleh organisasi. (ISO GUIDE 73:2009 definisi ); x. Toleransi risiko (risk tolerance) adalah kesiapan organisasi atau pemangku kepentingan( ( ) untuk menanggung risiko (1.1) setelah perlakuan risiko (3.8.1) dalam upaya mencapai sasaran. (ISO GUIDE 73:2009 definisi ). Catatan: Toleransi risiko dapat dipengaruhi oleh persyaratan hukum dan peraturan perundangan. y. Struktur tata kelola risiko (Risk governance structure) struktur organisasi dalam pengelolaan manajemen risiko perusahaan, z. Risk Champion adalah karyawan pada masing-masing bagian yang ditunjuk menjadi fasilitator dalam penerapan manajemen risiko pada bagian tersebut. 19

20 BAB II ASPEK STRUKTURAL 1. Pengantar Sebagaimana telah diuraikan pada Bab I, Aspek Struktural merupakan aspek yang memastikan struktur organisasi penerapan, arah penerapan, dan akuntabilitas pelaksanaan manajemen risiko dalam organisasi, serta penyediaan sumber daya. Ini berarti bahwa aspek ini akan menjadi fondasi bagi penerapan manajemen risiko pada suatu organisasi. Hal-hal yang dibahas dalam aspek ini adalah bagaimana tata kelola risiko (risk governance) termasuk di dalamnya kejelasan akuntabilitas para pemangku risiko (risk owner). Selanjutnya dibahas mengenai pedoman penerapan manajemen risiko yang berupa prinsip-prinsip yang harus diacu untuk memastikan dan sekaligus memfasilitasi terjadinya budaya sadar risiko, sehingga meningkatkan daya tahan dan keliatan (resilience) organisasi dalam menghadapi tantangan perubahan yang mengandung risiko. Pelaksanaan tata kelola manajemen risiko tidak dapat dilakukan secara terpisah dengan struktur organisasi entitas. Padahal struktur organisasi suatu entitas sangat tergantung pada system hukum yang dianut dalam negara dimana entitas tersebut berada dan juga terhadap jenis kegiatan organisasi tersebut. Suatu organisasi swasta tentu akan berbeda dengan suatu organisasi publik, karena acuan hukum dipakai berbeda. Organisasi yang mengejar laba tentu berbeda juga dengan organisasi nirlaba, karena peraturan perundangan yang digunakan sebagai acuan juga berbeda. Pedoman ini, walaupun diupayakan untuk bersifat generik, akan tetapi tidak mungkin mencakup segala macam jenis organisasi. Untuk kepentingan praktis mengenai struktur organisasi entitas, pedoman ini akan mengacu pada Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas yaitu Undang-Undang tentang perusahaan swasta pada umumnya, termasuk juga Badan Usaha Milik Negara (BUMN). Alasannya sederhana, karena jenis entitas inilah yang jumlahnya paling banyak dan juga sekaligus menjadi tumpuan perputaran roda ekonomi sektor riil. Untuk entitas lain yang mempunyai bentuk bukan Perseroan Terbatas, maka dia harus mencari padanan organ apa yang setara tugas dan kewajibannya dengan organ Perseroan 20

21 Terbatas, yaitu Rapat Umum Pemegang Saham, Direksi dan Dewan Komisaris. Organisasi lain, terutama organisasi publik, organisasi nirlaba, hendaknya melihat dan mengacu pada peraturan perundangan yang terkait. Perbedaan peraturan perundangan yang digunakan akan mempengaruhi bentuk kerangka kerja penerapan manajemen risiko dan juga akuntabilitas penerapan manajemen risiko bagi organisasi tersebut. 2. Prinsip,Kerangka Kerja dan Proses Manajemen Risiko Pada awal penerapan manajemen risiko, fokus lebih tertuju hanya pada bagaimana menangani risiko tersebut dan secara parsial, bukan bagaimana menangani berbagai macam risiko yang mungkin dihadapi oleh organisasi. Merubah cara penanganan risiko yang semula secara parsial (silo) menjadi terintegrasi seluruh organisasi, memerlukan suatu pendekatan yang berbeda. Perlu dibangun suatu pemahaman yang sama tentang prinsipprinsip penanganan risiko, suatu landasan kerangka kerja yang akan menjadi dasar bagi penanganan setiap risiko, urutan proses penanganan risiko, pemahaman tentang teknik dan metoda penanganan risiko dan proses pelaporan serta monitoring dan review untuk seluruh proses penanganan risiko dalam suatu organisasi. Penerapan manajemen risiko untuk seluruh organisasi ini sering disebut sebagai ERM (Enterprise Risk Management). a. Prinsip-Prinsip Manajemen Risiko Merujuk pada standar manajemen risiko terbaru yaitu ISO 31000:2009 Risk Management Principles and guidelines, manajemen risiko suatu organisasi hanya dapat efektif bila mampu menganut dan menerapkan prinsip-prinsip sebagai berikut: 1) Manajemen risiko melindungi dan menciptakan nilai tambah Manajemen risiko memberikan kontribusi melalui peningkatan kemungkinan pencapaian sasaran perusahaan secara nyata. Selain itu, juga memberikan perbaikan dalam aspek keselamatan, kesehatan kerja, kepatuhan terhadap peraturan perundang-undangan, perlindungan lingkungan hidup, persepsi publik, kualitas produk, reputasi, corporate governance, efisiensi operasi, dan lain-lain. 2) Manajemen risiko adalah bagian terpadu dari proses organisasi 21

22 Manajemen risiko merupakan bagian dari tanggung jawab manajemen dan merupakan bagian tak terpisahkan dari proses organisasi, proyek, dan manajemen perubahan. Manajemen risiko bukanlah suatu aktivitas yang berdiri sendiri dan terpisah dari kegiatan serta proses organisasi dalam mencapai sasaran. 3) Manajemen risiko adalah bagian dari proses pengambilan keputusan Manajemen risiko membantu para pengambil keputusan untuk mengambil keputusan atas dasar pilihan-pilihan yang tersedia dengan informasi yang selengkap mungkin. Manajemen risiko dapat membantu menentukan prioritas tindakan dan membedakan berbagai alternatif tindakan. Manajemen risiko dapat membantu menunjukkan semua risiko yang ada, mana risiko yang dapat diterima dan mana risiko yang memerlukan perlakuan lebih lanjut. Manajemen risiko juga memantau apakah perlakuan risiko yang telah diambil memadai dan cukup efektif atau tidak. Informasi ini merupakan bagian dari proses pengambilan keputusan. 4) Manajemen risiko secara khusus menangani aspek ketidakpastian Manajemen risiko secara khusus menangani aspek ketidakpastian dalam proses pengambilan keputusan. Ia memperkirakan bagaimana sifat ketidakpastian dan bagaimanakah hal tersebut harus ditangani. 5) Manajemen risiko bersifat sistematik, terstruktur, dan tepat waktu Sifat sistematik, terstruktur, dan tepat waktu yang digunakan dalam pendekatan manajemen risiko inilah yang memberikan kontribusi terhadap efisiensi dan konsistensi manajemen risiko. Dengan demikian, hasilnya dapat dibandingkan dan memberikan hasil serta perbaikan. 6) Manajemen risiko berdasarkan pada informasi terbaik yang tersedia Masukan dan informasi yang digunakan dalam proses manajemen risiko didasarkan pada sumber informasi yang tersedia, seperti pengalaman, observasi, perkiraan, penilaian ahli, dan data lain yang tersedia. Akan tetapi, tetap harus disadari bahwa semua informasi ini mempunyai keterbatasan yang harus dipertimbangkan dalam proses pengambilan keputusan, baik dalam membuat model risiko maupun perbedaan pendapat yang mungkin terjadi di antara para ahli. 22

23 7) Manajemen risiko adalah khas untuk penggunanya (tailored) Manajemen risiko harus diselaraskan dengan konteks internal dan eksternal organisasi, serta sasaran organisasi dan profil risiko yang dihadapi organisasi tersebut.termasuk dalam pengertian ini adalah disesuaikan dengan kebutuhan dari para pemangku risiko dalam organisasi tersebut. 8) Manajemen risiko mempertimbangkan faktor manusia dan budaya Penerapan manajemen risiko haruslah menemukenali kapabilitas organisasi, persepsi dan tujuan masing-masing individu di dalam serta di luar organisasi, khususnya yang menunjang atau menghambat pencapaian sasaran organisasi. 9) Manajemen risiko harus transparan dan inklusif Untuk memastikan bahwa manajemen risiko tetap relevan dan terkini, para pemangku kepentingan dan pengambil keputusan di setiap tingkatan organisasi harus dilibatkan secara efektif. Keterlibatan ini juga harus memungkinkan para pemangku kepentingan terwakili dengan baik dan mendapatkan kesempatan untuk menyampaikan pendapat serta kepentingannya, terutama dalam merumuskan kriteria risiko. 10) Manajemen risiko bersifat dinamis, berulang, dan tanggap terhadap perubahan Ketika terjadi peristiwa baru, baik di dalam maupun di luar organisasi, konteks manajemen risiko dan pemahaman yang ada juga mengalami perubahan. Dalam situasi semacam inilah tahapan monitoring dan review berperan memberikan kontribusi. Risiko baru pun muncul, ada yang berubah, ada juga yang menghilang. Oleh karena itu, menjadi tugas manajemen untuk memastikan bahwa manajemen risiko senantiasa memperhatikan, merasakan, dan tanggap terhadap perubahan. 11) Manajemen risiko harus memfasilitasi terjadinya perbaikan dan peningkatan organisasi secara berlanjut Manajemen organisasi harus senantiasa mengembangkan dan menerapkan perbaikan strategi manajemen risiko serta meningkatkan kematangan dan kecanggihan pelaksanaan manajemen risiko, sejalan dengan aspek lain dari organisasi. 23

24 b. Kerangka Kerja Manajemen Risiko Agar dapat berhasil dengan baik, manajemen risiko harus diletakkan dalam suatu kerangka manajemen risiko. Kerangka kerja ini akan menjadi dasar dan penataan yang mencakup seluruh kegiatan manajemen risiko di segala tingkatan organisasi. Kerangka kerja ini akan membantu organisasi mengelola risiko secara efektif melalui penerapan proses manajemen risiko dalam berbagai tingkatan organisasi dan dalam konteks spesifik organisasi tersebut. Kerangka kerja ini akan memastikan bahwa informasi risiko yang lengkap dan memadai yang diperoleh dari proses manajemen risiko akan dilaporkan serta digunakan sebagai landasan untuk pengambilan keputusan. Hal ini dilakukan sesuai dengan kejelasan akuntabilitas pada setiap tingkatan organisasi. MANDAT & KOMITMEN Perencanaan Kerangka Kerja Manajemen Risiko Perbaikan sinambung Kerangka Kerja MR Penerapan Manajemen Risiko Monitoring & review penerapan Kerangka Kerja MR Gambar 1: Kerangka kerja manajemen risiko (Sumber: ISO 31000:2009 Risk management Guideline and principle) Skema pada gambar 1 di atas memperjelas gambaran umum mengenai kerangka kerja manajemen risiko sebagai induk dari proses manajemen risiko yang lebih bersifat teknis. 24

25 Kerangka kerja ini tidak dimaksudkan untuk menggambarkan sebuah sistem manajemen baru, tetapi lebih ditujukan untuk membantu organisasi dalam mengintegrasikan manajemen risiko ke dalam sistem manajemen organisasi keseluruhan, khususnya melalui sikolus manajemen sederhana PDCA (Plan-Do-Check-Action). Selain itu, skema di atas menunjukkan gambaran mengenai bagaimana seharusnya tata kelola risiko (risk governance) harus dilaksanakan, dimana dalam tata kelola risiko ini, sebagaimana diutarakan dalam Bab I, terdiri dari aspek struktural, aspek operasional dan aspek perawatan. Secara lebih rinci, ketiga aspek tersebut memuat unsur-unsur sebagai berikut: 1) Aspek struktural dari tata kelola manajemen risiko antara lain terdiri dari: a) Komitmen; b) Kebijakan manajemen risiko; c) Akuntabilitas dan kepemimpinan; d) Pembentukan unit kerja manajemen risiko; e) Champion manajemen risiko pada masing-masing unit kerja; serta f) Penyediaan sumber daya yang diperlukan untuk pelaksanaan manajemen risiko. 2) Aspek operasional dari tata kelola manajemen risiko antara lain terdiri dari: a) Penyusunan buku Panduan Manajemen Risiko; b) Peluncuran, sosialisasi, dan pelatihan manajemen risiko; c) Teknik dan metoda untuk implementasi proses manajemen risiko; d) Sistem pelaporan internal dan eksternal; e) Monitoring dan pengukuran kinerja; serta f) Tata usaha dan administrasi data serta informasi manajemen risiko. g) Aspek perawatan dari tata kelola manajemen risiko antara lain terdiri dari: h) Pendidikan dan pelatihan berlanjut; i) Komunikasi dan publikasi; j) Review dan audit tata kelola manajemen risiko; serta k) Benchmarking. 25

26 c. Mandat dan Komitmen Mandat dan komitmen dalam kerangka kerja manajemen risiko mempunyai arti sentral. Dari mandat dan komitmen itulah segala sesuatun yang terkait dengan manajemen risiko berasal sesuai dengan peraturan yang menjadi dasar hukum entitas atau organisasi. Dalam peraturan perundang-undangan terkait, akan terlihat secara jelas siapa yang memperoleh mandat dan apa jenis mandat yang diterima dan komitmen apakah yang akan terkait secara langsung dengan penerapan manajemen risiko pada organisasi tersebut. Pedoman ini menggunakan Undang-Undang No.40 tahun 2007 tentang Perseroan Terbatas (UUPT) sebagai acuannya, maka akan ditelaah bagaimanakah Mandat dan Komitmen dalam peraturan perundangan tersebut terkait dengan penerapan manajemen risiko. Dalam UUPT yang menjadi alter ego perusahaan adalah Direksi dan Dewan Komisaris, dan mandat yang mereka terima adalah sebagai berikut: 1) Direksi adalah Organ Perseroan yang berwenang dan bertanggung jawab penuh atas pengurusan Perseroan untuk kepentingan Perseroan, sesuai dengan maksud dan tujuan Perseroan serta mewakili Perseroan, baik di dalam maupun di luar pengadilan sesuai dengan ketentuan anggaran dasar. 2) Dewan Komisaris adalah Organ Perseroan yang bertugas melakukan pengawasan secara umum dan/atau khusus sesuai dengan anggaran dasar serta memberi nasihat kepada Direksi. Dari mandat tersebut di atas terlihat jelas bahwa Direksi mempunyai tugas pengurusan dan perwakilan untuk kepentingan Perseroan, sesuai dengan maksud dan tujuan Perseroan. Sebagai konsekuensi logis dari tugas tersebut maka Direksi memikul tanggung jawab kepada: 1) Perseroan; 2) Pemegang saham; dan 3) Kreditur serta pemangku kepentingan lainnya. 26

27 Sedangkan Dewan Komisaris mempunyai tugas pengawasan dan pemberian nasehat kepada Direksi. Dewan Komisaris harus memerhatikan kepentingan perseroan dan sesuai dengan maksud serta tujuan perseroan dan Anggaran Dasar perseroan. Tugas dan tanggung jawab Dewan Komisaris lebih bersifat internal sehingga Dewan Komisaris bertanggung jawab kepada: 1) Perseroan; dan 2) Pemegang saham. Jadi Direksi dan Dewan Komisaris wajib memastikan bahwa maksud, tujuan dan kepentingan Perseroan harus diupayakan untuk tercapai dan tidak terganggu oleh kepentingan. Pernyataan ini sebetulnya tidak lain dan tidak bukan adalah penerapan manajemen risiko pada perseroan (lihat definisi risiko dan manajemen risiko ). Dengan demikian terkait dengan penerapan manajemen risiko maka Direksi adalah Penanggungjawab Utama: penerapan manajemen risiko pada Perseroan, sedangkan Dewan Komisaris adalah Pengawas Tertinggi dalam pelaksanaan pengawasan (monitoring dan review) pelaksanaan penerapan manajemen risiko pada Perseroan. Oleh karena itu, tugas Direksi antara lain wajib untuk: 1) Menciptakan situasi yang kondusif untuk melaksanakan manajemen risiko melalui penetapan prinsip, strategi umum, dan kebijakan penerapan manajemen risiko; 2) Menyusun dan menetapkan risk governance structure yang sesuai dengan organisasi yang dipimpinnya, serta menetapkan struktur akuntabilitas hingga level yang terendah; 3) Menetapkan bahasa dan terminologi manajemen risiko baku yang akan digunakan di dalam organisasi, antara lain dengan menetapkan jenis standar manajemen risiko yang akan digunakan; 4) Menyediakan sumber daya yang diperlukan dalam arti tenaga ahli, pelatihan, dana, sarana fisik, peralatan, dan waktu yang diperlukan untuk melaksanakan manajemen risiko dengan baik; 5) Memastikan keselarasan program manjemen risiko dengan strategi perusahaan, sekaligus menentukan ukuran kinerja pencapaian sasaran manajemen risiko; 27

28 6) Mengartikulasikan dan mengomunikasikan manfaat manajemen risiko dalam pencapaian sasaran perusahaan; 7) Menetapkan model potensi risiko utama dan risiko utama nyata yang dihadapi perusahaan untuk memfokuskan sasaran penanganan manjemen risiko. Dewan Komisaris adalah organ perseroan yang bertugas untuk melakukan pengawasan, oleh karena itu perlu diperhatikan bahwa pengawasan bukan berarti campur tangan, karena kalau terjadi campur tangan maka akuntabilitas akan menjadi kabur. Karena itu disarankan pola pengawasan Dewan Komisaris dilaksanakan sebagai berikut: 1) Apa yang dapat membuat perusahaan ini bangkrut atau rugi besar? Pertanyaan ini membuat kita fokus pada risiko-risiko utama. Risiko utama ini dapat diidentifikasi antara lain melalui: a) Siapa saja pemangku kepentingan utama dan apa kebutuhannya; b) Rencana strategis perusahaan dan pelaksanaannya; c) Risiko kegiatan utama, baik finansial, operasional, maupun kepatuhan kepada peraturan perundangan yang dapat membahayakan kelangsungan hidup perusahaan; d) Bagaimanakah toleransi risiko ditetapkan dan bagaimanakah toleransi risiko tersebut bila dibandingkan dengan kapabilitas perusahaan ataupun rencana strategi perusahaan; e) Apakah Anda merasa nyaman dengan profil risiko yang dilaporkan? 2) Fokus pada perubahan apakah yang terjadi. Hal ini terkait dengan unsur ketidakpastian dari risiko. Perubahan apapun yang terjadi harus diperhatikan. Bagaimana dampaknya terhadap organisasi, perubahan pasar/persaingan, perubahan peraturan, perubahan kurs mata uang, perubahan politik, dan lain-lain. 3) Uji dan bandingkan dengan apa yang telah terjadi. Kita tidak boleh berpuas diri dengan apa yang sudah berjalan dengan baik. Ada baiknya kita mempertanyakan kemampuan manajemen risiko yang ada: Mungkinkah apa yang terjadi di Union Carbide, Bhopal, India, dapat juga terjadi disini? Mungkinkan kecerobohan sistem pengendalian internal yang terjadi pada Baring Bank, Singapore, dapat juga terjadi 28

29 di sini? Mungkinkah kecerobohan manajemen yang dialami Adam Air juga mungkin terjadi di sini?; dan seterusnya. 4) Menemu kenali hubungan antar-risiko. Sebuah risiko besar seringkali tidak terjadi tiba-tiba, tetapi akibat dari interaksi dari berbagai risiko kecil. Risiko yang dialami oleh pesawat terbang Adam Air yang terjun ke laut diakibatkan oleh berbagai hal, mulai dari upaya penghematan, komponen navigasi yang tidak berfungsi dengan baik, sampai kecerobohan manajemen. Selain keempat hal di atas, Dewan Komisaris juga perlu mempertanyakan bagaimanakah proses komunikasi risiko dilaksanakan; bagaimanakah pembinaan budaya sadar risiko diselenggarakan; bagaimanakah penciptaan situasi yang kondusif untuk penerapan manajemen risiko diciptakan; dan bagaimanakah pembentukan tone at the top (perilaku keteladanan) terlaksana. Organisasi dengan penerapan manajemen risiko yang baik akan menunjang pelaksanaan good corporate governance dan akan meningkatkan nilai perusahaan. d. Proses Manajemen Risiko Proses manajemen risiko adalah penerapan secara sistematik kebijakan manajemen, prosedur dan praktik manajemen dalam pelaksanaan tugas untuk melakukan komunikasi dan konsultasi; menetapkan konteks; melakukan asesmen risiko. Proses manajemen risiko meliputi identifikasi, analisa, dan evaluasi risiko, kemudian perlakuan risiko, dan diakhiri dengan pemantauan dan pengkajian risiko. Proses manajemen risiko secara singkat merupakan penerapan kerangka kerja manajemen risiko pada tiaptiap jenis risiko yang secara spesifik mempunyai karakter yang berbeda-beda sesuai dengan konteksnya. Ini sesuai dengan prinsip ke tujuh manajemen risiko yang menyatakan bahwa manajemen risiko adalah khas bagi penggunanya (tailored). Walaupun penerapan proses manajemen risiko khas untuk masing-masing risiko, tetapi secara metodologis, penerapannya sesuai dengan sistem yang digambarkan pada gambar 2 di bawah ini. 29

30 MENENTUKAN KONTEKS ASESMEN RISIKO IDENTIFIKASI RISIKO ANALISA RISIKO EVALUASI RISIKO Gambar 2: Proses manajemen risiko (Sumber: AS/NZS 4360:2004 Risk Management) Sebagaimana ditegaskan di atas, proses manajemen risiko ini adalah khas dan unik untuk tiap proses bisnis, bagian dan bahkan untuk tiap risiko. Ini karena tidak ada proses, bagian ataupun risiko yang 100% identik. Masing-masing mempunyai hal yang spesifik, walaupun terdapat beberapa kesamaan. 3. Tata Kelola Risiko PERLAKUAN RISIKO Tata kelola risiko ini meliputi unsur-unsur kebijakan manajemen risiko, akuntabilitas pelaksanaan, perencanaan manajemen risiko terpadu, penyediaan sumber daya yang memadai, dan mekanisme komunikasi serta pelaporan pelaksanaan manajemen risiko, baik internal maupun eksternal. Satu hal lagi yang biasanya penting dalam tata kelola manajemen risiko adalah kesamaan bahasa, yaitu penggunaan istilah-istilah dalam penerapan manajemen risiko. Hal ini diatasi dengan menggunakan istilah dan definisi yang ditentukan dalam ISO Guide 173:2009 Risk Management Vocabulary. a. Kebijakan Manajemen Risiko Kebijakan manajemen risiko merupakan pernyataan komitmen secara tertulis oleh Direksi dan Dewan Komisaris untuk menerapkan manajemen risiko dalam organisasi. Hal penting terkait Kebijakan ini dinyatakan secara singkat dan jelas yang meliputi antara lain: 1) Alasan mengapa harus menerapkan manajemen risiko; 30

31 2) Penjelasan keterkaitan antara pencapaian sasaran organisasai dan kebijakan manajemen risiko; 3) Kejelasan akuntabilitas pelaksanaan manajemen risiko, termasuk infrastruktur pelaksanaannya; 4) Penyediaan sumber daya untuk menerapkan manajemen risiko; 5) Penentuan standar atau metode manajemen risiko yang akan digunakan; 6) Komitmen untuk melakukan review dan verifikasi secara berkala terhadap efektivitas penerapan manajemen risiko. Penetapan komitmen manajemen ini harus diikuti dengan langkah-langkah nyata untuk lebih mempertegas bahwa komitmen tersebut tidak hanya di atas kertas. Secara keseluruhan, langkah nyata tersebut adalah penyusunan tata kelola manajemen risiko yang akan mengawali proses penerapan manajemen risiko ke seluruh organisasi. b. Akuntabilitas Penerapan Manajemen Risiko Akuntabilitas tertinggi untuk penerapan manajemen risiko pada dasarnya berada pada Direksi, secara lebih khusus pada Direktur Utama atau anggota Direksi lainnya yang ditunjuk. Secara umum, hal penting yang perlu diperhatikan antara lain: 1) Penunjukan Champion yang bertanggung jawab untuk mendorong pelaksanaan penerapan manajemen risiko secara meluas ke seluruh organisasi (enterprise wide risk management). Champion ini dapat berupa penunjukan fungsi Manajemen Risiko tersendiri dan juga para individu pada setiap divisi dengan penugasan khusus untuk menjadi fasilitator penerapan manajemen risiko pada divisinya; 2) Penetapan secara jelas bahwa akuntabilitas pengelolaan risiko tetap berada pada para pemangku risiko (risk owner) dan bukan ke para Champion..Untuk itu maka pada setiap kepala divisi merupakan pemangku risiko pada divisi tersebut dan juga menjadi Penanggung Jawab dalam melakukan pengelolaan risiko pada divisinya. Demikian secara berjenjang hingga sampai pada penanggungjawab proses. Tugas para Champion lebih sebagai fasilitator untuk penerapan manajemen risiko; 31

32 3) Penyusunan infrastruktur organisasi sebagai unit untuk mendorong penerapan manajemen risiko ke seluruh organisasi, termasuk di dalamnya akuntabilitas penerapan tersebut pada setiap tingkatan dalam organisasi; 4) Penyusunan mekanisme organisasi untuk penerapan manajemen risiko, termasuk penyusunan manual penerapan manajemen risiko, mekanisme pelaporan pelaksanaan manajemen risiko, pengukuran efektivitas penerapan manajemen risiko, atau pengukuran kinerja manajemen risiko. 5) Proses untuk menimbulkan budaya sadar risiko ke seluruh organisasi. a. Infra Struktur Manajemen Risiko Tidak terdapat model atau panduan baku dalam penyusunan infrastruktur organisasi dalam pengelolaan manajemen risiko. Hal yang terpenting adalah kejelasan dari akuntabilitas dan tanggung jawab untuk mendorong pelaksanaan manajemen risiko ini bertumpu pada suatu fungsi yang ditunjuk secara tegas dan jelas. Setiap organisasi harus menyusun infrastruktur organisasi manajemen risiko sesuai dengan kebutuhannya dan jenis-jenis risiko yang dihadapinya. Dalam gambar 3 ditampilkan suatu model yang merupakan contoh dan bukan merupakan model baku. Contoh ini lebih tepat untuk organisasi yang cukup besar, sedangkan untuk organisasi yang berskala kecil dan menengah, harus menyesuaikan dengan kemampuan organisasinya. 32

33 DEWAN KOMISARIS Komite Pemantau Risiko Pengawasan DIREKSI KOMITE RISIKO (Lintas Fungsi) INTERNAL AUDITOR MANAJEMEN OPERASI MANAJEMEN KEUANGAN HUKUM & KEPATUHAN MANAJEMEN SDM & UMUM MANAJEMEN RISIKO Gambar 3: Infra struktur manajemen risiko Komite Pemantau Risiko adalah organ Dewan Komisaris yang membantu melakukan pengawasan dan pemantauan pelaksanaan penerapan manajemen risiko pada perusahaan. Komite Risiko adalah Komite yang dipimpin oleh Direktur Utama atau Direktur yang ditunjuk untuk itu, dan berfungsi untuk menetapkan kebijakan, strategi penerapan manajemen risiko untuk seluruh perusahaan. Selain itu Komite ini mempunyai anggota dari masing-masing Direktorat, untuk melakukan pemantauan dari pelaksanaan penerapan manajemen risiko dan mengambil keputusan terhadap usulan perlakuan risiko yang berdampak bagi seluruh perusahaan. Semua pengesahan manual, prosedur dan tata laksana penerapan manajemen risiko dilaksanakan melalui Komite Risiko ini. Fungsi Manajemen Risiko adalah unit yang menjadi Champion dalam penerapan manajemen risiko perusahaan dan menyusun segala manual dan prosedur serta tata laksana dan pelaporan penerapan manajemen risiko perusahaan. Unit ini juga melakukan komunikasi berkala dan pelaporan penerapan manajemen risiko perusahaan. Unit ini juga menyelenggarakan pelatihan bagi para champion yang berada pada tiap divisi atau departemen dalam perusahaan. 33

34 b. Tata Laksana, Komunikasi dan Pelaporan Proses manajemen risiko melibatkan banyak pihak dalam organisasi, terlebih lagi pada awal penerapannya. Oleh karena itu, perlu kejelasan akuntabilitas untuk memastikan bahwa semua proses dapat berjalan dengan baik. Salah satu metode yang sering digunakan untuk melakukan hal tersebut adalah RACI Matrix. RACI adalah singkatan dari Responsible, Accountable, Consulted, dan Informed. Secara sederhana, RACI Matrix akan menjelaskan atau menentukan dalam setiap kegiatan: 1) R siapa yang responsible, artinya siapa yang mengerjakan kegiatan tersebut; 2) A siapa yang accountable, artinya siapa yang berhak membuat keputusan akhir ya atau tidak atas kegiatan tersebut, serta menjawab pertanyaan-pertanyaan pihak lain; 3) C siapa yang harus consulted, artinya harus diajak konsultasi atau dilibatkan sebelum atau saat kegiatan tersebut dilaksanakan atau dilanjutkan; serta 4) I siapa yang harus informed, artinya siapa yang harus diberi informasi mengenai apa yang sedang terjadi atau sedang dilakukan tanpa harus menghentikan kegiatan tersebut. Direksi dan Dewan Komisaris harus memastikan bahwa pada setiap tahapan proses manajemen risiko terdapat kejelasan akuntabilitas dan tanggung jawab pelaksanaannya. RACI Matrix pada tabel 1 memperlihatkan gambaran umum mengenai hal tersebut di atas. Gambaran ini masih sangat kasar dan memerlukan penjabaran lebih lanjut dalam bentuk proses bisnis yang sesuai dengan sasaran di tiap tahapan. Kedalaman penjabaran sangat ditentukan oleh keperluan organisasi, tetapi keberhasilan penjabaran proses akan mempermudah dan memperjelas proses penerapannya. Dari RACI Matrix pada tabel 1 terlihat secara tidak langsung bagaimana metode komunikasi dan pelaporan harus dilaksanakan. Secara sederhana dapat dikatakan bahwa pihak yang dalam tabel tersebut mendapatkan huruf A berarti ia harus 34

35 mendapatkan laporan lengkap untuk dapat mengambil keputusan. Ia seolah-olah menjadi pelanggan dari seluruh kegiatan tersebut. Sedangkan yang menjadi process owner adalah mereka yang memperoleh huruf R. Dialah yang harus mempersiapkan laporan dan melakukan komunikasi dengan pihak-pihak terkait. Laporan disampaikan kepada pemilik huruf A, sedangkan komunikasi dilakukan kepada mereka-mereka yang memperoleh huruf C dan I. No Tahap Proses Manajemen Risiko Dewan Komisaris Komite Pemantau Risiko Direksi Fungsi Manajemen Risiko Divisi Operasional 1. Persiapan I A R I Komunikasi dan Konsultasi Menentukan konteks 4. Asesmen Risiko a. Identifikasi Risiko I I A R C I I C A R C I I I C R A/R - b. Analisis Risiko I I C R A/R - c. EvaluasiRisiko I I A C R I 5. Perlakuan Risiko I I A C R C/I Monitoring dan Review Pelaporan Manajemen Risiko I R A R C I C C A R R/C - External Stakeholeder Tabel 1: Contoh RACI Matriks Komunikasi dan pelaporan eksternal dilakukan dengan menambahkan satu kolom Stakeholders pada bagian paling kanan matriks RACI di atas. Bila dalam kolom stakeholders terdapat huruf I atau C maka kita wajib memberikan informasi (informed) atau melibatkan (consulted) mereka dalam kegiatan manajemen risiko yang sedang dilaksanakan. Melalui proses di atas diharapkan bahwa manajemen organisasi mampu membangun mekanisme sistem tata laksana, komunikasi dan pelaporan internal maupun eksternal guna memastikan bahwa 1) Komponen kunci kerangka kerja manajemen risiko dan setiap perubahan yang terjadi dapat dikomunikasikan dengan baik ke seluruh pihak terkait; 2) Tersedianya cukup laporan tentang efektivitas kerangka kerja manajemen risiko dan hasil dari proses manajemen risiko; 35

36 3) Informasi hasil penerapan manajemen risiko selalu tersedia di tiap tingkatan yang memerlukan dan pada waktu yang diperlukan; 4) Terselenggaranya proses konsultasi dengan para pemangku kepentingan internal maupun eksternal; 5) Pelaporan ke pihak eksternal sesuai dengan tuntutan kepatuhan hukum serta penerapan good corporate governance; 6) Melaksanakan pengungkapan informasi sesuai dengan peraturan perundangan yang berlaku; 7) Berkomunikasi dengan seluruh pemangku kepentingan, terutama pada saat terjadi krisis atau keadaan darurat. 8) Menggunakan komunikasi untuk membina dan meningkatkan kepercayaan kepada organisasi; 4. Sumber Daya Penerapan Manajemen Risiko Penyediaaan sumber daya yang memadai adalah indicator lain dari komitmen Direksi dalam menerapkan manajemen risiko dalam organisasi yang dipimpinnya. Tanpa adanya sumber daya yang memadai, hal ini serupa dengan penolakan diam-diam terhadap penerapan manajemen risiko. Manajemen organisasi harus mengalokasikan sumber daya yang memadai untuk pelaksanaan manajemen risiko antara lain terhadap hal-hal berikut: a. Personalia dengan pengalaman, ketrampilan, dan kemampuan yang memadai serta jumlah yang sesuai dengan kebutuhan; b. Sumber dana dan sumber daya yang diperlukan untuk setiap tahapan penerapan manajemen risiko; c. Proses dan prosedur yang terdokumentasi dengan baik dan sistem dokumentasinya, termasuk perangkat penunjangnya; d. Sistem informasi dan manajemen pengetahuan (knowledge management system). RACI matrix tersebut di atas memberikan indikasi untuk kebutuhan sumber daya. Kebutuhan pelatihan atau peningkatan kompetensi dalam melaksanakan manajemen risiko diperlukan bagi mereka yang mendapatkan penugasan R. Bagi yang mendapatkan 36

37 penugasan I dan C memerlukan sosialisasi dan komunikasi agar dapat memahami apa dan mengapa manjemen risiko, serta bagaimana dampaknya terhadap unit kerja dan tanggung jawabnya. Bagi yang mendapatkan penugasan A, pada dasarnya sama dengan yang mendapatkan penugasan I dan C, tetapi derajatnya lebih tinggi karena harus memikirkan dampaknya terhadap keseluruhan organisasi dan memutuskan apa yang harus dilakukan terhadap risiko tersebut atau jenis perlakuan risiko yang harus diambil. Kebutuhan sumber daya lain untuk mengelola penerapan manajemen risiko menjadi salah satu faktor penting yang menentukan berjalan dan berhasilnya proses penerapan manajemen risiko. Untuk ini komitmen Direksi dalam memenuhi kebutuhan tersebut akan sangat menentukan. 37

38 BAB III ASPEK OPERASIONAL 1. Pengantar Sebagaimana yang telah dijelaskan pada bagian sebelumnya, aspek struktural merupakan landasan yang digunakan dalam penerapan manajemen risiko secara menyeluruh pada organisasi. Hal tersebut juga berlaku pada aspek operasional, namun aspek operasional dapat pula sebagai aspek spesifik bagi masing-masing bagian atau bahkan spesifik untuk tiap-tiap risiko. Aspek operasional yang menjadi bagian dari proses penerapan manajemen risiko secara menyeluruh dalam organisasi adalah penyusunan manual manajemen risiko, metodologi penanganan manajemen risiko atau lebih dikenal dengan proses manajemen risiko dan penanganan manajemen perubahan. Pada penanganan manajemen perubahan, prosesnya meliputi peluncuran, sosialisasi dan pelatihan hingga penerapan manajemen risiko sehingga nantinya tumbuh budaya sadar risiko. Sedangkan aspek spesifik bagi masing-masing bagian dan bahkan tiap-tiap risiko adalah penerapan proses manajemen risiko itu sendiri pada tiap-tiap risiko. Setiap risiko dan proses bisnis mempunyai konteks yang spesifik sehingga memerlukan teknik yang spesifik pula. Sesuai dengan prinsip ke dua pada prinsip-prinsip manajemen risiko yang dijelaskan di Bab II, manajemen risiko merupakan bagian terpadu dari proses organisasi, maka proses manajemen risiko hendaknya merupakan bagian yang tak terpisahkan dari manajemen umumnya. Ia harus masuk dan menjadi bagian dari budaya organisasi, praktik terbaik organisasi, dan proses bisnis organisasi. Proses manajemen risiko meliputi lima kegiatan, yaitu komunikasi dan konsultasi; menentukan konteks; asesmen risiko; perlakuan risiko; serta monitoring dan review, sebagaimana ditunjukkan pada gambar 2 dalam Bab II. Dalam aspek operasional ini perlu dijelaskan lingkup tugas mana yang menjadi bagian pada level organisasi keseluruhan (korporasi) dan yang menjadi wilayah para pemangku risiko (divisi, departemen, proses bisnis,dll.). Untuk itu digunakan pendekatan seperti digambarkan pada gambar 4 di bawah ini. 38

39 PROSES STRATEGIC STRATEGIS PROCESS STRATEGIC PROCESS MANDAT & KOMITMEN Kebijakanan Standar Sumber daya Manual Manajemen Risiko Lingkup & konteksmr organisasi STRATEGIC PROSESSTRATEGIS PROCESS Menentukan konteks STRUKTUR & AKUNTABILITAS Unit Manajemen Risiko Komite Manajemen Risiko Komite Pemantau Risiko Risk Owners & ChampiosMR MR Plan & Roadmap Identifikasi risiko Analisa risiko Evaluasi risiko Perlakuan risiko PROSES STRATEGIS REVIEW & PERBAIKAN Review kemajuan penerapan RM Plan & KPI RM Audit Control assurance Governance reporting Benchmarking Management information System Risk Register Assurance Plan Treatment plan Reporting system STRATEGIC PROSESSTRATEGIS PROCESS KOMUNIKASI & PELATIHAN (Manajemen perubahan) AnalisisStakeholders Strategi & proseskomunikasi Strategi & prosespelatiha Networking Gambar 4: Operasionalisasi kerangka kerja dan proses manajemen risiko (Sumber: diadopsi dari Broadleaf Capital International Pty, Ltd.(2008)) Proses manajemen risiko yang berada di bagian tengah adalah domain kegiatan para pemangku risiko (risk owner) sedangkan kegiatan lainnya adalah domain kegiatan organisasi. Atau dengan kata lain, tugas khusus fungsi manajemen risiko organisasi adalah menyediakan fondasi bagi kegiatan para pemangku risiko dalam menerapkan manajemen risiko. Pemangku risiko dalam pengertian ini adalah para Kepala Divisi/Biro, Kepala Bagian, Kepala Seksi atau penanggung jawab proses organisasi. Dalam aspek operasional pada Bab ini akan diuraikan proses implementasi manajemen risiko yang meliputi antara lain pelaksanaan manajemen perubahan; penyusunan buku Panduan Manajemen Risiko; Implementasi proses manajemen risiko; sistem pelaporan internal dan eksternal; monitoring dan pengukuran kinerja; serta tata usaha dan administrasi data serta informasi manajemen risiko. 39